Android PLT hook 与 Inline hook

原创 已于 2025-05-13 13:05:44 修改 · 1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #HotFix #热修复 #c++ #c语言 #hook

于 2025-05-11 22:39:26 首次发布

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

前言

Android Native 函数 Hook 技术是一种在应用运行时拦截或替换系统或自身函数行为的手段,常见实现包括 PLT Hook、Inline Hook。

PLT Hook 和 Inline Hook 是两种不同层次和机制的函数 Hook 技术,常用于逆向工程、安全分析、壳保护或热修复等场景。

PLT hook 和 Inline hook 有什么区别?

特性 PLT Hook(符号级) Inline Hook(指令级)
Hook 层级 链接层(.plt 或 GOT) 指令层(函数入口指令)
Hook 对象 动态库导出的函数 任意函数(不一定导出)
修改内容 修改函数地址指针 修改指令流(如跳转指令)
Hook 粒度 通常是库间调用 可以精确到任意函数、库内调用
稳定性 较高 稍差(依赖指令结构、架构)
跨平台兼容性 更好 架构相关(ARM32/ARM64)

PLT Hook 原理(也叫 GOT Hook)

ELF 中动态链接时使用 PLT(Procedure Linkage Table) 和 GOT(Global Offset Table);

程序调用外部函数(如 malloc、fopen)时,实际上是跳到 GOT 表中的地址;

可以通过修改 GOT 表,将目标函数地址替换为你自己的函数。

✅优点:

  • 修改一次,全局生效(所有调用者都被 hook)

  • 不需要写复杂汇编指令

❌ 缺点:

  • 只能 Hook 动态链接函数(如 libc.so 中的函数)

  • 无法 Hook 静态链接或内部函数调用

Inline Hook 原理

直接修改目标函数的前几条机器指令(通常是函数入口),替换成跳转指令(如 b <new_func> 或 ldr pc, [addr]);

原函数内容被破坏,因此会备份原始指令并在新函数中支持“回调原函数”(trampoline)。

✅ 优点:

  • 可以 Hook 几乎任意函数(导出或非导出、静态或动态)

  • 精细控制,适合保护/加壳/代码注入等底层用途

❌ 缺点:

  • 对 CPU 架构高度依赖(ARM64、ARMv7)

  • 对汇编、内存保护、缓存等有要求(必须关闭写保护)

  • 稳定性较低,不当使用可能 crash

举个例子

假设目标函数是 malloc(),我们希望 Hook 它:

PLT Hook 方式:

  • 找到 .got 中 malloc 的地址

  • 改成我们自己的函数地址

void* my_malloc(size_t size) {
    printf("Intercepted malloc(%zu)\n", size);
    return real_malloc(size); // 调用原函数
}

Inline Hook 方式:

  • 找到 malloc 函数地址,直接改入口 4~8 字节为跳转指令

  • 替换后的入口可能变成:

b my_malloc  ; ARM

App 中函数 Hook 是否会影响其他应用?

是否互相影响,取决于 Hook 的层级 和 Hook 方式,以下是详细分析:

关键点:Android 的进程隔离机制

在 Android 中,每个 App 通常运行在自己独立的进程(除非使用 android:sharedUserId 和特定签名),所以:

  • Java 层 Hook(如 Xposed):是 per-process(每个进程生效),不同 App 之间互不影响

  • Native 层 Hook(如 inline/PLT):也通常在当前进程生效

  • 系统全局 Hook(如内核级 syscall hook):才可能影响所有进程,包括其他 App

示例分析

情况 1:两个 App 分别使用 inline hook hook 自己的 libc.so 的 open()

✅ 各自 Hook 的是自己进程中的 open

❌ 不会互相影响

情况 2:你 Hook 了 system_server 的某个系统服务(如 ActivityManager)

✅ 如果你有权限(如 Riru、Zygisk 模块),就能影响整个系统服务,其他 App 可能间接受影响

情况 3:你在内核或 system-wide 层 hook 了 syscall(比如使用 LKM hook read())

❗ 会影响整个系统,包括所有 App

🧨 风险大,容易被检测或引发稳定性问题

ShadowHook

ShadowHook 是一个 Android inline hook 库,它支持 thumb、arm32 和 arm64。

ShadowHook 现在被用于 TikTok,抖音,今日头条,西瓜视频,飞书中。

开源地址:https://github.com/bytedance/android-inline-hook

文档:https://github.com/bytedance/android-inline-hook/blob/main/README.zh-CN.md

ShadowHook 手册:https://github.com/bytedance/android-inline-hook/blob/main/doc/manual.zh-CN.md

运行 ShadowHook

首先把 ShadowHook 源码 clone 到本地并导入到 Android Studio。

点击运行,提示找不到 CMake ‘3.30.5’

[CXX1300] CMake '3.30.5' was not found in SDK, PATH, or by cmake.dir property.
Affected Modules: app, shadowhook, systest

打开 Android SDK 配置

  • 点击右下角 Show Package Details。

  • 找到并勾选 CMake 3.30.5。

  • 点击 Apply → 自动下载并安装。

word/media/image1.png

也可以用命令行工具安装:

cd D:\App\android\sdk\cmdline-tools\latest\bin

./sdkmanager "cmake;3.30.5"

Warning: Observed package id 'system-images;android-34;lineage;arm64-v8a' in inconsistent location 'D:\App\android\sdk\system-images\android-34\google_apis_playstore\arm64-v8a' (Expected 'D:\App\android\sdk\system-images\android-34\lineage\arm64-v8a')
Warning: Observed package id 'system-images;android-34;lineage;x86_64' in inconsistent location 'D:\App\android\sdk\system-images\android-34\google_apis_playstore\x86_64' (Expected 'D:\App\android\sdk\system-images\android-34\lineage\x86_64')
Warning: Observed package id 'system-images;android-34;lineage;arm64-v8a' in inconsistent location 'D:\App\android\sdk\system-images\android-34\google_apis_playstore\arm64-v8a' (Expected 'D:\App\android\sdk\system-images\android-34\lineage\arm64-v8a')
Warning: Observed package id 'system-images;android-34;lineage;x86_64' in inconsistent location 'D:\App\android\sdk\system-images\android-34\google_apis_playstore\x86_64' (Expected 'D:\App\android\sdk\system-images\android-34\lineage\x86_64')
[=======================================] 100% Unzipping... share/vim/vimfiles/s

需要下载对应版本的 ndk

word/media/image2.png

word/media/image3.png

再次运行,提示如下错误

Execution failed for task ':shadowhook:compileDebugJavaWithJavac'.
> Java compiler version 21 has removed support for compiling with source/target version 7.
  Try one of the following options:
      1. [Recommended] Use Java toolchain with a lower language version
      2. Set a higher source/target version
      3. Use a lower version of the JDK running the build (if you're not using Java toolchain)
  For more details on how to configure these settings, see https://developer.android.com/build/jdks.

Set Java Toolchain to 11
Change Java language level and jvmTarget to 11 in all modules if using a lower level.
Pick a different compatibility level...
Pick a different JDK to run Gradle...
More information...

这个错误的意思是你使用的是 JDK 21,而你的项目设置了 sourceCompatibility = 1.7(也就是 Java 7),但 JDK 21 已经移除了对 Java 7 的编译支持。

设置 Java Toolchain 为 Java 11

word/media/image4.png

编译运行成功!

最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Android Native Hook 深入理解PLT hook
baiiu
12-22 1878
本文介绍NativeHook技术里的PLT hook,参考开源的xhook和bhook进行理解,本文不涉及该hook技术源码的分析,只分析大体原理,用于在进行修复稳定性问题时候寻找hook点使用。
PLT HookAndroid Native泄露监控
zhuhai0613的博客
10-03 519
PLT Hook, Android Native泄露监控
Android-xhook是一个PLThook库用于Android原生ELF
08-13
xhook is a PLT (Procedure Linkage Table) hook library for Android native ELF (executable and shared libraries).
PLT hookInline hook
Android系统攻城狮
03-07 4608
前言 在目前的安卓APP测试中对于Native Hook的需求越来越大,越来越多的APP开始逐渐使用NDK来开发核心或者敏感代码逻辑。 个人认为原因如下: 安全的考虑。各大APP越来越注重安全性,NDK所编译出来的so库逆向难度明显高于java代码产生的dex文件。越是敏感的加密算法数据就越是需要用NDK进行开发。 性能的追求。NDK对于一些高性能的功能需求是java层无法比拟的。 手游...
Android安全】Frida PLT hookInline Hook
Juruo@Security
05-05 908
Android安全】Frida PLT hookInline Hook
PLT hook 方案 PLT hook
疾风剑豪
07-05 808
PLT hook 方案 PLT hook 字节跳动开源 Android PLT hook 方案 bhook --- https://zhuanlan.zhihu.com/p/401547387inline hook 的功能无疑是最强大的 inline hook () ->.dyn.aps2 .dyn.aps2 LT hook 并不是修改磁盘上的 ELF 文件,而是在运行时修改内存中的数据,因此我们主要关心的是执行视图,即 ELF 被加载到内存后,ELF 中的数据是如何组织和存放的。 size_t (*st
爱奇艺 Android PLT hook 技术分享
weixin_34404393的博客
05-03 1037
Android PLT hook 概述 获取代码和资源 你始终可以从 这里 访问本文的最新版本。 文中使用的示例代码可以从 这里 获取。文中提到的 xhook 开源项目可以从 这里 获取。 开始 新的动态库 我们有一个新的动态库:libtest.so。 头文件 test.h #ifndef TEST_H #define TEST_H 1 #ifdef __cplusplus extern "...
深度解析PLT Hook技术原理,手把手实现Native内存泄漏监控,助您打造高稳定性的监控工具,提升应用性能用户体验
最新发布
全栈
07-29 1239
本文详细介绍了基于PLT Hook技术的Android Native内存泄漏监控系统的实现方法。从内存泄漏概念、PLT Hook原理到具体代码实现,提供了一套完整的解决方案。通过解析ELF文件结构、定位目标函数的GOT地址、修改内存权限并实现自定义内存管理函数,构建了高效的内存泄漏监控系统。本文还提供了性能优化策略、多线程环境下的监控、调试符号解析、Java层的交互以及动态加载和卸载监控等高级特性,帮助读者解决常见问题并提高监控系统的稳定性和准确性。
Android Native Hook: 原理、方案对比具体实现
陆业聪
04-21 2063
本文探讨了Android Native Hook技术,包括原理、实现方式(Inline HookPLT/GOT Hook)及优化建议,旨在帮助开发者更有效地应用该技术。
Android性能优化 - plt hook native线程监控
m0_59162559的博客
10-04 978
最后我们来总结一下plt hook相关优缺点优点缺点可操作性强,原理简单易用局限性 plt hook 只能作用在外部函数,即调用生成重定位表的方法中适配成本低,只需要hook 相关重定位表即可,由elf文件保证其规范当前,为了解决plt hook的局限性问题,同时也有对inline hook 的开源框架,但是inline hook存在适配成本较高稳定性较差的问题,一直没有得到非常大的推广,一般只在特殊场景下的使用,这里普及一下并不详细展开说明!
plthook:通过替换 PLT(Procedure Linkage Table) 条目来调用 Hook 函数
05-31
PLT钩子 什么是pltook。 一个实用程序库,用于挂钩由指定对象文件(可执行文件和库)发出的库函数调用。 这会修改大多数 Unix 上使用的格式的 PLT(程序链接表)条目或 Windows 上使用的 PE 格式的条目。 什么是 PLT(或 IAT) 注意:这不是精确的解释。 省略了一些细节。 当一个函数调用另一个文件中的另一个函数时,它是通过 PLT(在 Unix 上使用 ELF)或 IAT(在 Windows 上)调用的。 为了在libfoo.so调用foo_func() ,必须知道被调用者的地址。 当调用者在同一个文件中时,被调用者的相对地址在编译时是已知的,而不管运行时的绝对地址如何。 所以some_func()使用相对寻址调用foo_func() 。 当调用者在其他文件中时,在编译时无法知道被调用者的地址。 为了解决这个问题,每个文件都有一个从外部函数名称到地址的映
plthook, 通过替换 PLT ( 过程链接表) 条目来调用钩子函数.zip
10-10
plthook, 通过替换 PLT ( 过程链接表) 条目来调用钩子函数 PLTHook 什么是 plthook 。用于钩子由指定对象文件( 可执行文件和库) 发出的库函数调用的实用工具库。 这将修改大多数unix或者 IAT ( 导入地址表) 中使用的ELF格式的PLT条目,以及 Windows
android中基于plt/got的hook实现原理
handy周
01-05 7830
目录 native-hook示例开始 got全局符号表hook 远程注入hook操作 inline hook原理 native内存泄漏检测常用方式 概述 由于android系统是基于linux内核开发的,因此我们日常编写的so文件,实际上也是一个ELF文件,类似于Windows下的PE文件,在开始了解native hook之前,我们要先了解一下ELF文件的格式,以及系统加载的一些过程。 Lin...
Android 内存优化】怎么理解Android PLT hook
Shujie
03-04 1574
来学习PLT hook的原理!
基于Android的ELF PLT/GOT符号重定向过程及ELF Hook实现(by 低端码农 2014.10.27)
热门推荐
简行之旅
10-27 2万+
基于Android的ELF PLT/GOT符号重定向过程及ELF Hook实现——by 低端码农 2014.10.27 引言 写这篇技术文的原因,主要有两个: 其一是发现网上大部分描述PLT/GOT符号重定向过程的文章都是针对x86的,比如《Redirecting functions in shared ELF libraries》就写得非常不错。虽然其过程跟ARM非常类似,但由于C
【亲测免费】 探秘PLTHook:轻量级动态函数挂钩库的奇迹
gitblog_00020的博客
05-10 604
探秘PLTHook:轻量级动态函数挂钩库的奇迹 项目介绍 PLTHook是一个强大的工具库,它能够动态地拦截和替换可执行文件和共享库中调用的函数,无须修改原始代码。这款库特别适用于那些想要在运行时进行功能扩展或监控系统行为的应用场景。它的设计思想源于Unix的ELF(Executable and Linkable Format)和Windows的PE(Portable Executable)格式的...
Android Hook框架adbi的分析(2)--- inline Hook的实现
Fly20141201. 的专栏
07-09 5841
一、 Android Hook框架adbi源码中inline Hook实现部分的代码结构 Android Hook框架adbi源码中inline Hook部分的实现代码结构示意图如下所示,hijack代码部分是前面的博客中提到的root下Android跨进程注入so的注入工具,instruments\base代码部分为inline Hook的操作实现,instruments\example代码部
【胖虎的逆向之路】——GOT/PLT Hook详解&针对自定义so库的Hook实操
无方少年游
06-30 2302
随着 Android 开发的技术宽度不断向 native 层扩展,Native hook 已经被用于越来越多的业务场景中,之前作者一直游离于Java层面的逆向,后来工作使然,接触到了Native 层的Hook,熟悉了ELF的文件结构&GOT/PLT&In Line Hook的相关知识和实际操作,Android Native Hook 的实现方式有很多种,我们接下来要讲的是(篇幅略略略长,阅读时长约20 min。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值